jessica

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

1) Odinstaluj:

StartNow Toolbar (HKLM\...\StartNow Toolbar) (Version: 2.5.0 - StartNow.com) <==== ATTENTION

Ask Toolbar (HKLM\...\{86D4B82A-ABED-442A-BE86-96357B70F4FE}) (Version: 1.15.4.0 - Ask.com) <==== ATTENTION
Ask Toolbar Updater (HKCU\...\{79A765E1-C399-405B-85AF-466F52E918B0}) (Version: 1.2.2.23821 - Ask.com) <==== ATTENTION

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Zrób nowe logi

jessi

komputer resetował się w nieskończoność po dotarciu do momentu ładowania Windowsa, dopiero przytrzymanie przycisku zasilania i normalne włączenie pomogło.

Mam nadzieję, że to był jednostkowy przypadek, i takie resety nie będą się powtarzały!

jessi

Ten plik był zainstalowany razem z netupdsrv.exe, i dwoma innymi plikami, Usuniemy ich usługi.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
MOD - [2014-06-16 14:04:30 | 000,162,304 | ---- | M] () -- C:\WINDOWS\system32\netupdsrv.exe
MOD - [2014-06-16 14:04:10 | 000,179,200 | ---- | M] () -- C:\WINDOWS\system32\nethtsrv.exe
SRV - [2014-06-16 14:04:30 | 000,162,304 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\netupdsrv.exe -- (ServiceUpdater)
SRV - [2014-06-16 14:04:10 | 000,179,200 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\nethtsrv.exe -- (NetHttpService)
DRV - [2014-06-16 14:04:40 | 000,049,152 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\nethfdrv.sys -- (nethfdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\A-FF Find and Mount\slicedisk.sys -- (SliceDisk5)

:Commands
[emptytemp]

jessi

Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
Link zapasowy  >http://www.mediafire.com/?7lu3v8crhc9s8zc

jessi

Wygląda na to, że pomogło (wyłączenie z autostartu). Wielkie dzięki za pomoc.

ale co wyłączyłeś z Autostartu?

czy może te nethfdrv.sys i netupdsrv.exe?

Jeśli tak, to trzeba będzie usunąć także ich usługi.

jessi

W nowych logach nie widzę już niczego "podpadającego", więc @Picasso tu raczej nie będzie potrzebowała zaglądać.

Kończymy:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

Ja w nowym logu nie widzę już niczego podejrzanego (nie licząc tych sprawdzanych na Jotti)

Dzisiejszy skan  jednego z tych plików:

http://www.herdprotect.com/nethfdrv.sys-6c144fa7161e91e5cda10b6712d242eb6c45a3c3.aspx

Nie wiem, kiedy tu zajrzy @Picasso.

jessi 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Dane aplikacji\Systweak
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Program Files\RichMediaViewV1
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\APN
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Dane aplikacji\41
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Menu Start\Programy\SmartTweak Software
[2014-06-05 18:34:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\FZf6k4QZguJ
[2013-12-15 23:19:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

jessi

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\...\Run: [RegistryMechanic] => C:\Program Files (x86)\Registry Mechanic\RMTray.exe /H
R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Users\Misa\AppData\Local\Temp\AcDeltree.exe
C:\Users\Misa\AppData\Local\Temp\t.dll
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Zrób nowe logi z FRST - już bez Shortcut

jessi

czyli zostawiamy te pliki w spokoju.

Co do Bing: chyba da się ustawić w przeglądarce, by domyślną wyszukiwarką było Google, a nie Bing.

jessi

Wg mnie - jest już OK.

Oczywiście może jeszcze tu zajrzy @Picasso, ale nie wiem kiedy.

jessi

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

Bing jest wyszukiwarką Microsoftu, zainstalowaną razem z Systemem.

C:\WINDOWS\system32\drivers\nethfdrv.sys

C:\WINDOWS\system32\netupdsrv.exe

Sprawdź te pliki na --> JOTTI/ albo na VIRUSTOTAL

Nie mają żadnej sygnatury.

jessi

O4 - HKU\.DEFAULT..\RunOnce: [{90150000-001A-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\.DEFAULT..\RunOnce: [{90150000-001B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\.DEFAULT..\RunOnce: [{90150000-006E-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\.DEFAULT..\RunOnce: [{90150000-00BA-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\.DEFAULT..\RunOnce: [{90150000-012B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\RunOnce: [{90150000-001A-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\RunOnce: [{90150000-001B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\RunOnce: [{90150000-006E-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\RunOnce: [{90150000-00BA-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\RunOnce: [{90150000-012B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

Zastanawiają mnie te powyższe wpisy: dlaczego OUTLOK jest uruchamiany z cmd.exe?

Ale to tylko tak na marginesie.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.55.2)

O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.55.2)

O4 - Startup: C:\Users\Asia2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.6.lnk =  File not found

O4 - Startup: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.6.lnk =  File not found

O4 - HKU\S-1-5-21-1421780191-1612272779-1516696035-1006..\RunOnce: [uninstall C:\Users\Czarek\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811_1\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Czarek\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811_1\amd64" File not found

O4 - Startup: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.6.lnk =  File not found

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1421780191-1612272779-1516696035-1006\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

Potem możesz czekać, aż @Picasso tu zajrzy (nie wiem kiedy)

jessi

Co robi ten skrypt?

i dlaczego jest tam fragment

 

?

Skrypt usuwa pliki, usługi, klucze, które są na nim napisane.

"start.qone8.com" - to szkodliwa strona, więc oczywiście jest do usunięcia.

jessi

C:\Users\Czarek\AppData\Roaming\Origin\update.vbe [2014-04-25] () <==== ATTENTION

 

Jest fałszywy "Origin".

Otwórz Notatnik i wklej w nim:

Task: {87E8E90A-0995-481F-9B4D-C89C1D0905BA} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI => C:\Users\Czarek\AppData\Roaming\aerix\googleupd.exe <==== ATTENTION

Task: {8D23B0CA-AF84-4B6C-B27F-0F830464FAE2} - System32\Tasks\Origin => C:\Users\Czarek\AppData\Roaming\Origin\update.vbe [2014-04-25] () <==== ATTENTION

C:\Windows\Temp\svchost.exe

C:\Users\Czarek\AppData\Roaming\Origin\update.vbe

C:\Users\Czarek\AppData\Roaming\Origin

C:\Users\Andrzej\AppData\Local\Temp\2m9s0v8j.dll

C:\Users\Andrzej\AppData\Local\Temp\msuqryvm.dll

C:\Users\Andrzej\AppData\Local\Temp\tpyvi-dt.dll

C:\Users\Andrzej\AppData\Local\Temp\zgpflnbq.dll

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Zrób nowe logi z FRST - już bez Shortcut.

jessi

PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe

PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe

PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe

PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe

 

Zrób logi z FRST (zresztą są tu wymagane!). https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

jessi

Po co mam tę Omige wszedzie ustawiać?

nie rozumiem pytania ...

jessi

Win32 sality

 

Na SALITY ComboFix nic nie pomoże.

Ale nie jestem pewna, czy naprawdę były takie infekcje,

Może to były pomyłkowe wykrycia Antywirusa?

Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe

Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

Napisz, czy też wykrył SALITY?

jessi

mniej więcej powinno to wyglądać tak:
 

DeQuarantine::
C:\Qoobox\Quarantine\C\ścieżka\Jakiś folder
C:\Qoobox\Quarantine\C\ścieżka\Jakiś folder\Jakiś plik.vir

 

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe  
        -------->

jessi
 

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

W logach nie widzę niczego podejrzanego.

Wg mnie - to problem sprzętowy.

jessi

Ja w logach nie widzę żadnej infekcji; zresztą nie sądzę, by problem mógł mieć cokolwiek wspólnego z infekcją.

Wg mnie ten temat powinien być napisany w dziale https://www.fixitpc.pl/forum/8-windows-7/

jessi

Moje pytanie jest takie czy można jakoś przy pomocy Combofixa przywrócić te pliki, a nie ręcznie?

 

Owszem, można, ale potrzebny jest log z tego skanowania, gdy ComboFix usuwał.

Dałeś tylko log z zeszłego roku.

jessi

Na liście Twoich programów jeszcze jest MyFreeCodec - odinstaluj go, a jeśli pojawi się pytanie, czy tylko usunąć z listy, to zgódź się.

Poza tym w tych logach nie widzę niczego więcej podejrzanego.

Tak więc teraz czekaj na @Picasso (nie wiem, kiedy tu zajrzy, i czy w ogóle zajrzy)

jessi
 

czy zaznaczyć addition i shortcut ?

Addition - tak,

Shorcut - nie widzę potrzeby

Ale to oczywiście dopiero przy robieniu nowych logów, a nie przy usuwaniu.

jessi

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

Do czasu uzyskania od Niej konkretnej pomocy, możesz zrobić przynajmniej to:

1) Odinstaluj:

MyFreeCodec

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Otwórz Notatnik i wklej w nim:

Task: {47119165-CEC4-457D-BF7D-7A88C1294869} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe <==== ATTENTION
Task: {59D1D99A-4497-42EC-A791-7E50AE09EEF4} - System32\Tasks\DealPly => C:\Users\Admin\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {C38D9860-B807-40F3-A07D-D3960A4ACEB9} - System32\Tasks\EPUpdater => C:\Users\Admin\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe <==== ATTENTION
GroupPolicyUsers\S-1-5-21-615732166-2090531956-1015574816-1005\User: Group Policy restriction detected <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml
FF Extension: Greener Web - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\4n6z4xga.default\Extensions\{a3f28269-ad17-41a8-b032-3e0313ef8979}.xpi
FF Plugin HKCU: @tools.google.com/Google Update;version=3 - C:\Users\Admin\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
FF Plugin HKCU: @tools.google.com/Google Update;version=9 - C:\Users\Admin\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [61120 2014-06-16] (StdLib)
C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys
C:\Users\Admin\AppData\Local\Temp\nv3DVStreaming.dll
C:\Users\Admin\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Admin\AppData\Local\Temp\nvStereoApiI.dll
C:\Users\Admin\AppData\Local\Temp\nvStInst.exe
C:\Users\Admin\AppData\Local\Temp\ose00001.exe
Reboot:

4) Zrób nowe logi z FRST.

jessi